11.8. 防止 overcloud 被移除

heat 在代码中包含一组默认策略,通过创建 /var/lib/config-data/puppet-generated/heat/heat/policy.json 文件并添加自定义规则可覆盖这些策略。添加以下策略,以拒绝所有用户获得删除 overcloud 所需的权限。

{"stacks:delete": "rule:deny_everybody"}

这会避免使用 heat 客户端删除 overcloud。要允许移除 overcloud,可删除自定义策略并保存 /var/lib/config-data/puppet-generated/heat/etc/heat/policy.json